APC met en garde contre les failles RCE critiques non authentifiées dans le logiciel UPS

Le logiciel de surveillance en ligne Easy UPS d'APC est vulnérable à l'exécution de code à distance arbitraire non authentifié, permettant aux pirates de prendre le contrôle des appareils et, dans le pire des cas, de désactiver complètement sa fonctionnalité.

Les dispositifs d'alimentation sans interruption (UPS) sont essentiels pour protéger les centres de données, les fermes de serveurs et les infrastructures réseau plus petites en garantissant un fonctionnement transparent au milieu des fluctuations ou des pannes de courant.

APC (de Schneider Electric) est l'une des marques d'onduleurs les plus populaires. Ses produits sont largement déployés sur les marchés des consommateurs et des entreprises, y compris les infrastructures gouvernementales, de santé, industrielles, informatiques et de vente au détail.

Plus tôt ce mois-ci, l'éditeur a publié une notification de sécurité pour avertir des trois failles suivantes affectant ses produits :

Alors que les failles de déni de service (DoS) ne sont généralement pas considérées comme très dangereuses, comme de nombreux onduleurs sont situés dans des centres de données, les conséquences d'une telle panne sont amplifiées car elles pourraient bloquer la gestion à distance des appareils.

Les défauts ci-dessus impactent :

L'impact affecte toutes les versions de Windows, y compris 10 et 11, ainsi que Windows Server 2016, 2019 et 2022.

L'action recommandée pour les utilisateurs du logiciel concerné est de mettre à niveau vers la V2.5-GS-01-23036 ou une version ultérieure, disponible en téléchargement ici (APC, SE).

Actuellement, la seule atténuation pour les clients ayant un accès direct à leurs unités Easy UPS est de mettre à niveau vers la suite logicielle PowerChute Serial Shutdown (PCSS) sur tous les serveurs protégés par votre Easy UPS OnLine (modèles SRV, SRVL), qui fournit un arrêt et une surveillance en série.

Les recommandations générales de sécurité fournies par le fournisseur incluent le placement des appareils critiques connectés à Internet derrière des pare-feu, l'utilisation de VPN pour l'accès à distance, la mise en œuvre de contrôles d'accès physiques stricts et le fait d'éviter de laisser les appareils en mode "Programme".

Des recherches récentes axées sur les produits APC ont révélé des failles dangereuses appelées collectivement «TLStorm», qui pourraient donner aux pirates le contrôle des dispositifs UPS vulnérables et exposés.

Peu de temps après la publication de TLStorm, la CISA a mis en garde contre les attaques ciblant les appareils UPS connectés à Internet, exhortant les utilisateurs à prendre des mesures immédiates pour bloquer les attaques et protéger leurs appareils.

VMware corrige des vulnérabilités critiques dans l'outil d'analyse de réseau vRealize

Cisco ne corrigera pas la vulnérabilité RCE zero-day dans les routeurs VPN en fin de vie

D-Link corrige les défauts de contournement d'authentification et RCE dans le logiciel D-View 8

Zyxel met en garde contre les vulnérabilités critiques des pare-feu et des appareils VPN

FBI: Bl00dy Ransomware cible les organisations éducatives dans des attaques PaperCut